1. DEFINISJONER. Dette tillegget om databehandling («tillegget») er innlemmet i serviceavtalen («avtalen») som er inngått mellom

Transkript

1 1 (7) Dette tillegget om databehandling («tillegget») er innlemmet i serviceavtalen («avtalen») som er inngått mellom Semantix International AB, ( ) («kjøper») og [navn] («leverandør»), samlet betegnet som «partene». 1. DEFINISJONER «Behandlingsansvarlig» er enheten som bestemmer formålet og fremgangsmåten for behandling av personopplysninger. «Databehandler» er enheten som behandler personopplysninger på vegne av den behandlingsansvarlige. «Registrert individ» er en identifisert eller identifiserbar fysisk person; en identifisert eller identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, især ved henvisning til et identifikasjonsnummer eller til én eller flere faktorer som er bestemmende for hans/hennes fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sosiale identitet. «Tredjepart» er en fysisk eller juridisk person, en offentlig myndighet, et byrå eller et organ, unntatt den registrerte, den behandlingsansvarlige, databehandleren og personer som etter direkte fullmakt fra behandlingsansvarlige eller databehandleren har fullmakt til å behandle personopplysninger. «Lover» er gjeldende lovgivning vedrørende databeskyttelse, personvern og sikkerhet, deriblant EU-direktiv 95/46/EF og direktiv 2002/58/EF (samlet betegnet som «EU-direktivene») med eventuelle endringer, erstatninger eller fornyelser, deriblant EUs personvernforordning 2016/679, i tillegg til alle bindende nasjonale lover som utgjør en implementering av EUdirektivene samt andre pågjeldende bindende lover, direktiver, forskrifter og forordninger om beskyttelse av data, personvern eller datasikkerhet ved behandling av personopplysninger etter avtalen. «Standardklausuler» er standardkontraktklausuler som er lagt ved EU-kommisjonens beslutning 2010/87/EU av 5. februar 2010 vedrørende overføring av personopplysninger til databehandlere med tilhold i tredjeland iht. EU-direktiver og eventuelle endringer, erstatninger eller fornyelser av dette fra EU-kommisjonen. «Personopplysninger» er all informasjon om en registrert som sendes til leverandøren, som leverandøren har tilgang til, eller som på annen måte behandles av leverandøren på kjøpers vegne i forbindelse med tjenestene. «Brudd på personopplysningssikkerheten» er brudd på sikkerheten som fører til utilsiktet eller ulovlig destruering, tap, endring, uautorisert videreformidling av eller tilgang til personopplysninger som overføres, lagres eller behandles på annen måte. «Behandling» er alle former for virksomhet hvor leverandøren eller dens tilknyttede selskaper eller underleverandører behandler personopplysninger, som innsamling, registrering, lagring,

2 2 (7) kombinering, organisering, endring, beregning, analyse, anvendelse, videreformidling ved overføring, distribuering, stryking eller sletting. «Tjenester» er leverandørens tilveiebringelse av tjenestene overfor kjøper i henhold til avtalen. «Tekniske og organisatoriske sikkerhetstiltak» er tiltakene som tar sikte på å beskytte personopplysningene mot utilsiktet eller ulovlig destruering eller utilsiktet tap, modifisering, uautorisert videreformidling eller tilgang, især når behandlingen omfatter overføring av data via et nettverk, og mot alle andre ulovlige former for behandling. 2. BEHANDLING AV PERSONOPPLYSNINGER 2.1. Partenes rolle Partene bekrefter og samtykker i at kjøperen er en behandlingsansvarlig og leverandøren en databehandler ved behandlingen av personopplysninger iht. dette tillegget Behandling av personopplysninger Leverandøren samtykker i å overholde bestemmelsene i alle lover som gjelder for behandling av personopplysninger. Leverandøren skal også følge skriftlige instrukser fra kjøper eller datatilsynsmyndighetene som er gitt til leverandøren, f.eks. om behandling, beskyttelse og kryptering av personopplysninger, og skal også påse at alle underleverandører følger de samme. Leverandøren skal overholde alle slike instruksjoner uten å kreve ekstra gebyrer, i den utstrekning det er nødvendig for at kjøper eller leverandør skal overholde lovene. Leverandøren skal også bistå kjøper ved kjøpers rimelige anmodning om gjennomføring av konsekvensanalyser for behandlingsaktivitetene og om konsultasjon med tilsynsmyndighetene før behandling når konsekvensvurderingen tilsier en høy risiko. I tilfelle leverandøren mener at leverandøren ikke har tilstrekkelige instruksjoner eller annen informasjon om hvordan behandlingen av personopplysninger skal skje på vegne av kjøper, skal leverandøren sørge for at slik instruksjon eller informasjon innhentes fra kjøperen. Med mindre noe annet kreves av gjeldende lovgivning, skal leverandøren ikke bruke eller behandle personopplysninger til noe annet formål enn det som definert eller instruert av kjøper. Leverandøren skal oppbevare personopplysningene konfidensielt og har ingen rettigheter til personopplysningene. Leverandøren skal ikke under eller etter avtaleperioden videreformidle eller overføre eller muliggjøre tilgang til, eller behandling av personopplysninger til eller av tredjepart, med unntak av det som er avtalt med kjøper. For å presisere er det tillatt med overføring av personopplysninger til underleverandører som er godkjent av kjøper i henhold til denne avtalen. Leverandøren skal ikke utlevere eller bruke data utledet fra personopplysningene til egne formål Bruk av underleverandører Leverandøren har ikke rett til å engasjere underleverandører uten skriftlig samtykke fra kjøper. Hvis kjøper har avtalt at leverandøren engasjerer underleverandør(er) til å behandle personopplysninger, skal (a) et slikt engasjement skje på grunnlag av en skriftlig avtale, og (b) underleverandøravtalen kreve at underleverandøren overholder minimumsnivået med de samme forpliktelsene som gjelder for leverandøren i henhold til dette tillegget og lovene. Under alle omstendigheter er leverandøren pliktig overfor kjøper og dens tilknyttede selskaper til å forbli fullt ut ansvarlig for sine underleverandørers handlinger og unnlatelser.

3 3 (7) 2.4. Sletting av opplysninger ved oppsigelse av avtalen eller ved avtalens utløp Ved avtalens eller tjenestenes oppsigelse eller utløp skal leverandøren returnere alle data til kjøper og deretter destruere personopplysninger fra all maskinvare (inkludert lagringsmedier), programvare og databaser som benyttes av leverandøren for å behandle personopplysningene, og leverandøren skal skriftlig bekrefte at dette er gjort, og leverandøren skal også påse at dens underleverandører gjør det samme Videreformidling av data Alle forespørsler fra myndigheter om innsyn i kjøpers personopplysninger som leverandøren måtte motta, skal umiddelbart underrettes til kjøper, med mindre en slik underretning er forbudt etter gjeldende lov. Leverandøren skal ikke besvare en slik forespørsel uten kjøpers skriftlige forhåndsgodkjenning. 3. OVERFØRING AV PERSONOPPLYSNINGER Leverandøren skal ikke (og skal påse at dens underleverandører ikke skal) overføre eller behandle personopplysninger i et EØS-land uten at dette på forhånd er skriftlig avtalt med kjøper, og med mindre de lovpålagte kravene til behandling av personopplysninger utenfor EU/EØS-land er oppfylt. Hvis loven krever det, skal leverandøren vedta de relevante standardklausulene, og skal også påse at eventuelle underleverandører gjør det samme. Dette innebærer at standardvilkårene bare gjelder når ingen andre unntak i lovene er gjeldende, slik som en bestemmelse om berettigelse, andre passende sikkerhetsforanstaltninger, deriblant bindende konsernregler, den registrertes samtykke eller når det er nødvendig for å gjennomføre en avtale med den registrerte. Den uendrede versjonen av standardklausulene skal anses å være innlemmet i form av henvisning som vedlegg 1 B, og skal gjelde dersom leverandøren eller dens underleverandør enten (a) har ekstern tilgang til personopplysninger som befinner seg i et datasenter i EØS-området fra et land utenfor EØS-området, eller (b) overfører til eller behandler data som befinner seg i et land utenfor EØS-området. 4. DATASIKKERHET OG SIKKERHETSTILTAK Leverandøren skal til enhver tid gjennomføre og opprettholde passende organisatoriske, operasjonelle, ledelsesmessige, fysiske og tekniske tiltak for å beskytte personopplysningene og kjøpers eventuelle andre data mot utilsiktet, uautorisert eller ulovlig destruksjon, tap, modifisering, videreformidling eller innsyn, slik at all behandling skjer i samsvar med lovene og kjøpers rimelige skriftlige instruksjoner, spesielt når behandlingen innebærer overføring av data over et nettverk. Disse tiltakene sørger for et sikkerhetsnivå som er passende i forhold til risikoen som er forbundet med behandlingen og arten av opplysninger som skal beskyttes, med hensyntaken til moderne teknologi og kostnadene ved iverksettelsen av tiltakene. Tekniske sikkerhetstiltak skal omfatte alle tekniske sikkerhetskontroller som er definert av leverandøren i henhold til anbefalingene som er fastsatt i ISO/IEC serien (eller tilsvarende, for eksempel SSAE-16 (2)) eller andre anbefalinger som er tilpasset et passende nivå, og hvor det skal tas hensyn til graden av følsomhet i personopplysningene, de spesielle risikoene som foreligger, eksisterende tekniske muligheter og kostnadene ved gjennomføring av tiltakene. Leverandøren skal begrense tilgangen til personopplysningene til autorisert og tilstrekkelig kvalifisert personell med et godt definert behov for tilgang («need to know»), og som er bundet av en relevant taushetsplikt. Leverandøren skal også gjennom tekniske og organisatoriske foranstaltninger sørge for at kjøperens personopplysninger ikke behandles til

4 4 (7) andre formål (for eksempel for andre av leverandørens kunder) og at personopplysningene behandles atskilt fra data fra andre av leverandørens kunder. Leverandøren garanterer at alle nødvendige forholdsregler er tatt ved utførelsen av tjenestene etter avtalen for å forhindre tap og modifisering av data, forhindre uautorisert tilgang til kjøpers IT-miljø, forhindre introduksjon av virus i kjøpers systemer og forhindre at uvedkommende får tilgang til kjøpers IT-miljø og kjøpers fortrolige informasjon. 5. EGENVURDERING OG REVISJONER Hvert halvår i avtaleperioden kan kjøper be om en gjennomgang av leverandørens sikkerhetsdokumentasjon og/eller en skriftlig rapport med egenvurdering av leverandørens overholdelse av dette tillegget, avtalen og lovene. I tillegg kan kjøperen (eller en uavhengig tredjepart på vegne av denne) forestå revisjon av leverandørens og dens underleverandørers behandlingsvirksomhet i henhold til en akseptert revisjonsplan med tolv (12) virkedagers skriftlig varsel. Hvis en revisjon avslører at tjenestene ikke er i samsvar med dette tillegget, avtalen eller lovene, skal leverandøren treffe alle nødvendige tiltak på egen regning for å sikre at tjenestene blir i samsvar med gjeldende bestemmelser. Kjøper er berettiget til å verifisere samsvar gjennom en ny revisjon på et hvilket som helst tidspunkt etter gjennomføringen av slike korrigerende tiltak. Kjøper er ansvarlig for kostnadene ved revisjonene. Hvis revisjonen avslører et vesentlig avtalebrudd eller at leverandøren har brutt dette tillegget, skal leverandøren omgående yte kjøper erstatning for kostnadene som oppstår ved avhjelp av bruddet. Leverandøren skal følge alle vedtak fra datatilsynsmyndighetene (no. Datatilsynet) eller annen kompetent myndighet når det gjelder personopplysningene som behandles på vegne av kjøper. Leverandøren skal også tillate kompetente myndigheter å føre tilsyn med behandlingen som finner sted. 6. HÅNDTERING AV BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN Ved brudd på personopplysningssikkerheten eller andre truende tvangsforretninger rettet mot leverandøren i forbindelse med behandlingen av personopplysninger, skal leverandøren gi kjøper et fyllestgjørende skriftlig varsel umiddelbart etter at de er blitt kjent med det, og ikke senere enn innen tjuefire (24) timer. Leverandøren skal med kjøpers forhåndsgodkjenning samarbeide for å løse problemet raskt og forhindre ytterligere tap, og melde fra til en frittstående eller offentlig myndighet med lovpålagt informasjon. Leverandøren skal også, på forespørsel fra kjøper, yte passende avhjelpende bistand til registrerte individer. 7. DE REGISTRERTES RETTIGHETER Dersom kjøper anmoder om det for at kjøper skal overholde loven, skal leverandøren til en rimelig kostnad basert på leverandørens faktiske arbeid: (a) straks fremlegge for kjøper en kopi av registrerte individers personopplysninger i fysisk og/eller maskinlesbar form; (b) straks korrigere, sperre eller slette registrertes personopplysninger; (c) straks overlevere denne informasjonen til kjøper og samarbeide om behandlingen av personopplysninger i henhold til avtalen slik kjøper med rimelighet kan kreve; og (d) gi registrerte individer hvis personopplysninger blir behandlet, informasjon om behandlingen slik kjøper med rimelighet kan kreve.

5 5 (7) I tilfelle en offentlig myndighet eller en tredjepart ber om informasjon som følger av avsnittet ovenfor, skal leverandøren straks underrette kjøperen om forespørselen, og leverandøren og kjøperen skal i samråd avtale en passende fremgangsmåte. 8. SKADESLØSHOLDELSE Leverandøren skal yte erstatning til kjøper ved erstatningskrav rettet mot kjøper når et slikt krav er forårsaket av leverandøren og i strid med gjeldende personvernlover. I tillegg til erstatning for avtalebrudd som på andre måter kan oppstå med bakgrunn i denne databehandlingsavtalen og/eller leverandøravtalen, skal kjøper ha rett til å få erstatning fra leverandøren for alle kostnader, gebyrer og bøter kjøper pådrar seg dersom leverandøren ikke har innfridd sine forpliktelser i henhold til denne databehandlingsavtalen og/eller leverandøravtalen og dersom behandlingen av personopplysninger som danner grunnlag for tapet, ble utført av eller via leverandøren. 9. OPPSIGELSE Dette tillegget forblir i full kraft så lenge avtalen er i kraft og i så lang tid etterpå som det er nødvendig for å fullføre aktivitetene etter avtalens oppsigelse eller utløp. I den utstrekning personopplysninger behandles av eller for leverandøren, uansett grunn, etter at avtalen er opphørt eller utløpt, skal dette tillegget fortsette å gjelde for slik behandling så lenge slik behandling utføres. Leverandørens (eller dens underleverandørers, alt ettersom) brudd på forpliktelsene i henhold til dette tillegget, vil bli ansett som et vesentlig avtalebrudd. Forpliktelser som i sin natur skal gjelde videre etter oppsigelse av avtalen eller avtalens utløp, skal også gjelde videre. Ved motstrid mellom vilkårene i dette tillegget og avtalen, gjelder bestemmelsene i dette tillegget. Eventuelle endringer i dette tillegget må avtales skriftlig mellom partene.

6 6 (7) Tillegg 1: Instruksjoner for behandling av personopplysninger Dette tillegget inneholder opplysninger om behandling av personopplysninger slik det er foreskrevet i artikkel 28 nr. 3 i GDPR. Behandlingens gjenstand Behandlingens varighet Behandlingens art og formål Type personopplysninger Kjøper kan sende personopplysninger til leverandøren. Omfanget av dette bestemmes og styres av kjøper og kan blant annet gjelde følgende kategorier av personopplysninger: Spesielle kategorier av personopplysninger Kjøperen kan sende opplysninger av spesielle kategorier til leverandøren. Omfanget av dette bestemmes og styres av kjøper og kan gjelde følgende spesielle kategorier av personopplysninger: Kategorier av registrerte individer Behandlingens gjenstand er språk- og DTPtjenester som definert i serviceavtalen (leverandøravtale eller kjøpsordre) som er inngått mellom kjøper og leverandør. Så lenge serviceavtalen mellom kjøper og leverandør er i kraft, med mindre annet er avtalt, og så lenge det er nødvendig i henhold til gjeldende lover. Leverandøren skal levere språkrelaterte tjenester, blant annet oversettelse, korrekturlesing, språkvask, redigering, tekstforfatting, tolking, språkopplæring og/eller DTP, på kjøpers bestilling. Leverandøren skal behandle opplysningene som er nødvendige for å levere denne tjenesten. Fornavn og etternavn Jobbtittel/stilling Arbeidsgiver Kontaktinformasjon (selskap, e- postadresse, telefonnummer, fysisk kontoradresse) ID-data Opplysninger om arbeidsliv Opplysninger om privatliv Opplysninger om tilkobling Opplysninger om lokalisering Opplysninger om bankkonti Kjøpshistorikk I tillegg til andre personopplysninger som leverandøren mottar innenfor rammen av avtalen. Personopplysninger som avslører rasemessig eller etnisk opprinnelse Personopplysninger som avslører politiske meninger Personopplysninger som avslører religiøs eller filosofisk tro Personopplysninger som avslører fagforeningsmedlemskap Genetiske data Biometriske data med det formål å identifisere en fysisk person unikt Helseopplysninger Data om en persons fysiske kjønn eller seksuelle legning Kjøpers ansatte Kjøpers kunder Kjøpers leverandører

7 7 (7) Kjøper kan sende personopplysninger til leverandøren. Omfanget av dette bestemmes og styres av kjøper og kan blant annet gjelde personopplysninger som angår følgende kategorier av registrerte: Kategorier av godkjente underleverandører Land/lokasjoner data vil bli eksportert til Personopplysningene blir behandlet (via ekstern tilgang eller vertsbasert) i/på følgende land/lokasjoner: Kjøpers frilansere Kjøpers forretningspartnere Fysiske personer nevnt i dokumenter som er sendt til leverandøren fra kjøper for behandling. I tillegg til andre registrerte som omfattes innenfor rammen av denne avtalen. Oversettere, korrekturlesere, språkvaskere, etterredigerere, copywritere, DTPleverandører, tolker og språklærere. Leverandøren skal kun bruke underleverandører som som et minimum har inngått en databehandlingsavtale som er i samsvar med GDPR. [Skal fylles ut av leverandør] 1. EØS-land 2. Land utenfor EØS. Dersom personopplysninger behandles utenfor EØS, skal standardklausuler ligge til grunn for avtalen mellom leverandøren og leverandørens databehandlere (eller det skal treffes lignende, egnede forholdsregler). 3. EØS-land og land utenfor EØS. Dersom personopplysninger behandles utenfor EØS, skal standardklausuler ligge til grunn for avtalen mellom leverandøren og leverandørens databehandlere (eller det skal treffes lignende, egnede forholdsregler).